Cybercrime is een groeiend probleem voor bedrijven, zowel in Nederland als in de rest van de wereld. Volgens het CBS is in 2020 bijna de helft van de bedrijven slachtoffer geweest van een cyberaanval. Daarbij verliest een gemiddeld MKB-bedrijf in Nederland bijna € 200.000 aan een cyberaanval. Dat zijn op zijn minst schokkende cijfers.
Cybercrime binnen bedrijven
Wereldwijd blijkt uit onderzoek dat cyberaanvallen op bedrijven de laatste jaren met bijna 50% zijn toegenomen. Het is voor bedrijven daarom belangrijk om maatregelen te nemen om zichzelf te beschermen tegen cybercriminaliteit.
Toch ontbreekt het vaak aan een goede beveiliging. Er is geen budget of prioriteit. Of het uitgeven van geld terwijl dat niet direct iets oplevert, roept weerstand op. Toch wordt goede cybersecurity steeds belangrijker en cruciaal.
Als jij de beveiliging van jouw bedrijf niet op orde hebt, kunnen de financiële gevolgen enorm zijn. Dit gaat niet alleen om het geld wat de cybercriminelen stelen of aftroggelen maar ook om het opnieuw inrichten van alle bedrijfssystemen waarop malware staat en de onderzoekskosten voor het inhuren van een cybersecurity bedrijf die jou moet ondersteunen. Maar je riskeert tegenwoordig ook een fikse boete als jij de beveiliging niet in orde had. Sinds mei 2019 zijn we verplicht om een datalek, wat meestal het gevolg is van een cyberaanval, te melden bij de Autoriteit Persoonsgegevens (AP). Elk bedrijf wat te maken heeft met het opslaan van persoonsgegevens heeft hier mee te maken. Deze autoriteit kan een boete geven tot maximaal 20 miljoen of 4% van de wereldwijde jaaromzet. De AP gaf Transavia een boete van 400.000 voor hun slechte beveiliging van persoonsgegevens*
* bron: https://www.autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties
Welke vormen van cybercrime zijn er?
Cybercriminaliteit is een sterk groeiend probleem voor bedrijven en individuen. De meest voorkomende fraude en aanvallen bestaan uit ransomware, DDoS-aanvallen en CEO-fraude. Ook phishing, malware en social engineering komen voor. Vanwege de grote mogelijke gevolgen bespreken we de drie belangrijkste vormen van cybercrime uitgebreider.
Ransomware
Ransomware is een vorm van kwaadaardige software die ontworpen is om toegang tot een computer of bestanden te blokkeren totdat het slachtoffer losgeld betaalt aan de cybercriminelen. De naam "ransomware" is afgeleid van het Engelse woord "ransom", wat losgeld betekent en “ware” van malware wat de benaming van kwaadaardige software is die gebruikt worden door criminelen.
Ransomware werkt door bestanden op een computer te versleutelen, zodat deze niet meer toegankelijk zijn voor de eigenaar van de computer. De cybercriminelen vragen vervolgens om betaling van losgeld in ruil voor de sleutel die nodig is om de versleutelde bestanden te decoderen. Soms starten de computers in een volledig bedrijfsnetwerk niet meer op of zijn alle back-ups versleuteld. De Universiteit Maastricht werd getroffen door een ransomware-aanval, waarbij de aanvaller via phishingmail en verouderde software toegang kreeg tot de systemen. De universiteit betaalde de aanvaller € 197.000 aan losgeld om de versleutelde bestanden terug te krijgen.
Double extortion ransomware
Hierin kan ook sprake zijn van zogenaamde double extortion ransomware, waarbij criminelen niet alleen bestanden versleutelen, maar ook dreigen deze openbaar te maken als het slachtoffer niet betaalt.
Triple extortion ransomware
Overtreffende trap is dan nog triple extortion, waarbij cybercriminelen dreigen om niet alleen bestanden te versleutelen en openbaar te maken, maar ook de getroffen organisatie aan te vallen met bijvoorbeeld een DDoS-aanval of hun klanten en partners.
DDos-aanvallen
Een DDoS-aanval (Distributed Denial of Service-aanval) is een type cyberaanval waarbij een grote hoeveelheid verkeer naar een website of systeem wordt gestuurd, waardoor deze overbelast raakt en niet meer bereikbaar is voor legitiem verkeer.
Zo werd de GGD in Nederland in 2021 het doelwit van een DDoS-aanval, waardoor mensen geen afspraken konden maken voor coronatests en -vaccinaties. De Universiteit Maastricht werd getroffen door een ransomware-aanval, waarbij de aanvaller via phishingmail en verouderde software toegang kreeg tot de systemen. De universiteit betaalde de aanvaller € 197.000 aan losgeld om de versleutelde bestanden terug te krijgen.
DDoS-aanvallen leiden vaak tot grote schade voor bedrijven, waaronder verlies van omzet, reputatieschade en klantverlies.
CEO-fraude
CEO-fraude is een vorm van oplichting waarbij cybercriminelen zich voordoen als een hoge functionaris binnen een bedrijf. Denk aan de CEO, CFO of een andere leidinggevende. Doel is om medewerkers van het bedrijf te misleiden en hen te bewegen om geld over te maken of vertrouwelijke informatie te verstrekken. En dat gebeurt dichter bij huis dan je misschien denkt.
Zo werd Pathé in 2018 het slachtoffer van CEO-fraude, waarbij cybercriminelen het management overtuigden om zogenaamd in opdracht van het hoofdkantoor in totaal € 19 miljoen over te maken naar een bankrekening in Dubai.
CEO-fraude is een vorm van Business Email Compromise en is groeiend probleem wat kan leiden tot grote financiële schade voor bedrijven. Het is daarom belangrijk om medewerkers te trainen en bewust te maken van deze vorm van oplichting en om strikte procedures te hanteren voor het overmaken van geld en het verstrekken van vertrouwelijke informatie.
Gevolgen van cybercrime
Onderschat de gevolgen van cybercrime niet. De vaak zeer ingrijpende gevolgen voor bedrijven bestaan uit:
Grote geldbedragen verliezen
Cyberaanvallen leiden tot financiële schade door het stelen van geld van bankrekeningen, het blokkeren van toegang tot systemen of het betalen van losgeld om bestanden terug te krijgen.
Het lekken van gegevens
Cybercriminelen maken gevoelige informatie van bedrijven buit en gebruiken deze voor criminele activiteiten, zoals identiteitsdiefstal. Let op, want als bedrijf ben je verantwoordelijk voor de bescherming van persoonsgegevens van klanten. Criminelen kunnen de gegevens uit een datalek misbruiken voor phishing aanvallen of het misbruiken van telefoonnummers voor telefoontjes van het Ministry of Justice.
Reputatieschade
Een succesvolle cyberaanval waarbij de oorzaak gebrek aan cyberbeveiliging was leidt vaak tot reputatieschade. Als klanten niet langer vertrouwen hebben in de beveiliging van het bedrijf, leidt dat bovendien tot omzetverlies en het verlies van klanten. Ook al vind ik dat het juist loont om wel openlijk en transparant te vertellen als je bent getroffen door ransomware. Als we erover praten, kunnen andere bedrijven ervan leren. Vaak is het niet meer de vraag “of” maar “wanneer” je wordt gehackt, ook al is jouw beveiliging op orde.
Faillissementen
In het ergste geval leidt een succesvolle cyberaanval zelfs tot een faillissement van het bedrijf, bijvoorbeeld wanneer belangrijke systemen of data permanent verloren zijn gegaan.
Cybercrime binnen bedrijven voorkomen
Om cybercrime binnen bedrijven te voorkomen, zijn er verschillende maatregelen mogelijk:
Zorg voor een Incident Response Plan
Een Incident Response Plan is een gedetailleerd stappenplan wat beschrijft hoe je moet handelen in geval van een cyberaanval.
Houd software up-to-date
Software-updates bevatten vaak beveiligingspatches die kwetsbaarheden in de software verhelpen. Door de software up-to-date te houden, verklein je de kans op een succesvolle aanval.
Gebruik tweefactorauthenticatie
Tweefactorauthenticatie is een extra beveiligingslaag bovenop een gebruikersnaam en wachtwoord. Zo maak je het kwaadwillenden moeilijker om toegang te krijgen tot gevoelige informatie.
Door het implementeren van deze maatregelen verklein je de kans op cybercrime binnen jouw bedrijf. Blijf altijd alert en maak ook je medewerkers bewust van de gevaren van cybercrime.
Waarom veel MKB bedrijven nog niks doen tegen cybercrime?
Ondanks de grote risico’s hebben veel MKB bedrijven nog geen maatregelen hebben genomen tegen cybercrime. In de praktijk blijken dit de belangrijkste oorzaken te zijn.
Geen tijd
Als ondernemer ben je vaak druk bezig met het runnen van je bedrijf. Het implementeren van beveiligingsmaatregelen tegen cybercrime kan veel tijd in beslag nemen en lijkt daarom misschien niet haalbaar.
Geen geld
Vooral MKB-bedrijven hebben beperkte financiële middelen. Het nemen van maatregelen wordt gezien als een investering die niet direct iets oplevert. Hier schuilt een groot gevaar. Op het moment dat een bedrijf slachtoffer wordt van ransomware klopt deze argumentatie niet meer.
Geen bewustzijn van dreiging
Sommige ondernemers zijn zich niet bewust van de dreiging die cybercrime met zich meebrengt. Ze denken dat hun bedrijf te klein is om doelwit te zijn of dat cyberaanvallen alleen grote bedrijven treffen.
Conclusie
Het is belangrijk om te beseffen dat cybercrime een reële dreiging vormt voor elk bedrijf, ongeacht de omvang. De gevolgen van een cyberaanval kunnen zeer ingrijpend zijn en leiden tot hoge kosten en reputatieschade.
Daarom is het verstandig om serieus na te denken over beveiligingsmaatregelen en om bewustzijn te creëren binnen het bedrijf.
